利用证书服务实现安全收发邮件.docVIP

利用证书服务实现安全收发邮件 　　【摘要】随着在内部使用邮件办公的企业公司的增加，与此同时对企业网内部的攻击愈加频繁增多。企业内部的邮件系统正面对着更多的安全威胁问题。鉴于此，本文介绍如何利用证书服务实现安全地收发邮件。 　　【关键词】证书服务；PKI；邮件；安全 　　伴随着计算机技术以及通信技术的快速发展，互联网的应用越来越广泛，电邮的使用频率也越来越高。然而互联网的安全性极低，如果是重要的信息如合同、商业机密、设计文件等在邮件中如果被人拦截，造成的损失不可估量。这就要求电邮能够机密、完整，且认证和不可否认，而它们都可以通过PKI技术来实现。 　　1.什么是PKI？ 　　1.1 PKI技术 　　PKI技术是英文Pubic Key Infrastructure的缩写，翻译过来是公钥基础设施。这种技术核心在于“非对称加密技术”。而非对称加密技术又分为公钥和私钥两种。而公钥和私钥的使用顺序和使用者不同，则完成了加密和解密的过程。 　　1.2 公钥加密私钥解密 　　1.2.1 原理 　　常见的公钥密码技术是RSA以及椭圆算法ECC。即使用两个足够大的质数与需要加密的文字相乘生产的积来实现加解密。这两个质数不管是哪个与被加密的文字相乘实现加密，都能够用另一个质数再相乘而实现解密。如果不是持有者，破解的时间复杂度达到n的二次根的平方，从而达到邮件的不可抵赖性和传递过程的完整性。 　　1.2.2 举例说明加密解密和数字签名的过程 　　举例来说，A和B皆具有第三方CA所签发的证书，A使用公钥对邮件进行加密，邮件以密文方式传送给B后，B以私钥可以解开密文，转换成原文。私钥具有私密性，唯一性，对于B来说，只有自己掌握才是最安全的。而对邮件使用私钥加密，因为其唯一性，则有起到签名的作用，保证了邮件的真实性。当A以自己的私钥对邮件加密时，所有的与其相对应的公钥都可以解开其邮件，而在传输过程中则仍是密文方式，即使被拦截也无法明文阅读，从而实现了邮件的安全性收发。以上描述可以用图1来表示。 　　通过以上图解和文字说明，PKI技术的基本过程已经一目了然。另外要加以补充的是，因为密钥有一个加密转换的过程，还可以通过分析密文了解是否有拦截或者受到过攻击。 　　1.2.3 对HASA函数的要求以及验证的步骤 　　1.2.3.1 对HASA函数的要求 　　①其接受的输入报文数据不存在长度限制； 　　②对任何输入报文数据皆生成固定长度的摘要（即数字指纹）输出； 　　③从报文算出摘要非常简便； 　　④无法对指定的摘要生成一个报文，但是由该报文则可算出该指定的摘要； 　　⑤无法生成两个不同的报文具有同样的摘要。 　　1.2.3.2 验证的步骤 　　①利用自己的私钥将信息转换为明文； 　　②利用发信方的公钥通过数字签名部分得到原文摘要； 　　③收件方对发件方所发送的源信息再进行hash运算，又产生一个摘要； 　　④收件方对两个摘要进行比较，如果二者相同，便可以证明信息签名者是真实身份。 　　2.证书的申请过程 　　2.1 认识机构CA（Certificate AUthority） 　　CA即Certificate AUthority，中文意思是电子商务认证授权机构。她作为电子商务交易中受信任的第三方，承担公钥体系中，公钥的合法性检验职责。CA是PKI的核心，通过公私钥核对的签名和验签，实现PKI提供的不可否定性服务。 　　2.2 证书的申请 　　①将活动目录证书服务角色添加到计算机中，并在计算机的域控制器里进行企业根CA或者是独立根CA安装。 　　②注册为域的用户，填写表格，设置专有邮箱，因为一对公私钥只对应一个邮箱。 　　③将MMC打开，并将“证书”管理单元添加到“可用管理单元”中。 　　④在浏览器中输入testca.netca.net回车，点击证书申请，将证书安装到计算机上。 　　在进行证书申请的同时，公钥和私钥也已创建完成，并会自动在客户端的计算机的注册表中进行私钥的储存。私钥存储完成后，会把与证书申请有关的数据资料和公钥一起发送到计算机的域控制器里的CA中。 　　2.3 查看申请是否成功 　　虽然申请完成，但是是否安装需要检查一下。在浏览器工具选项里“internet选项”切换至“内容”查找“证书”即可。 　　2.4 绑定证书 　　在打开的证书里绑定唯一的邮箱。 　　①在windows中，Outlook Express上方打开工具选择账户，在邮件中选择对应账户，点击属性切换至安全，即可选择签名或者加密之一。 　　②如果是Foxmail，在相应账户右击打开属性，找到“安全”依次选择。 　　3.利用证书服务安全收发邮件的内部传输机制 　　①通过TCP把客户端与服务器端建立起一种关系；